Q&A
ip6tablesにより2つの以下条件を設定しあるUDPパケットの遮断する事を調査しております。特に1番目の条件について調べても分からない部分があり、アドバイス、ご指導の程頂けますと幸いです。
フィルタリングの条件と致しましては以下の2つになります。(今回は包括的なセキュリティ対策という要件ではないので、一旦全て拒否するルールから許可すべきルールを追加するというアプローチはとっておりません)
特に条件1について、下記のように変動するX部分のフィールドは全て”FFFF”とすることで、ワイルドカード的な指定ができるのかなど、どのようなコマンドを使えば良いのか答えを見つけられずにおります。
1.同じUDP受信パケットの送信元IPV6アドレスに特定のIPV6アドレス帯、後ろから2番目の16ビットのインターフェイスIDのフィールドが"2080"だった場合は許可する。Xに当たる部分はそれぞれ個別のプレフィックスとインターフェイスIDとなります。
ip6tables -I INPUT -s fd00::X:XX:XXXX:2080:XXXX -j ACCEPT
ip6tables -I INPUT -s fd00::FFFF:FFFF:FFFF:2080:FFFF -j ACCEPT
2.ある特定のUDP受信パケット"617"を一日のある特定の時間帯のみブロックする。以下の例ですと午前3時から午後11時59分まで(12時から2時59分までは許可する)
ip6tables -A INPUT -p udp --dport 617 -m time --timestart 3:00 --timestop 23:59 --days Mon,Tue,Wed,Thu,Fri,Sat, Sun -j DROP
総合すると最終的には以下のような3つのルール適用が必要なのではないかと考えております。
ip6tables -I INPUT -s fd00::FFFF:FFFF:FFFF:2080:FFFF -j ACCEPT
ip6tables -A INPUT -p udp --dport 617 -m time --timestart 3:00 --timestop 23:59 --days Mon,Tue,Wed,Thu,Fri,Sat, Sun -j DROP
ip6tables -A INPUT -j ACCEPT
回答1件
0
ベストアンサー
条件1の話だけ。
以下のように登録したところ、一応ルールとして受理はされました。
ip6tables -A INPUT -p tcp -s fd00::2080:0000/ffff:ffff:ffff:ffff:ffff:ffff:0000:ffff -j ACCEPT
後ろから2番目の16ビットアドレスだけをマスクしないネットマスクを指定しています。
実際にパケットが通過するかどうかはご自身で試してみてください。
$ sudo ip6tables -n --list | grep fd00 ACCEPT tcp fd00::/ffff:ffff:ffff:ffff:ffff:ffff:0:ffff ::/0
投稿2018/08/04 08:02
総合スコア4447
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/08/04 09:48
2018/08/20 02:49